Patch management onmisbare schakel voor veilige IT-omgeving
Ondanks het feit dat organisaties en instellingen de afgelopen jaren continu worden geïnformeerd over het belang van patching, vormen zwakke plekken in besturingssystemen en verouderde software nog steeds het startpunt om een cyberaanval uit te voeren. Patch management is dan ook een vitaal onderdeel voor de cybersecurity van iedere organisatie. Het tijdig patchen en installeren van security updates is een van de belangrijkste activiteiten die IT-beheerders moeten doen om systemen en netwerken te beschermen. Het patch management systeem moet daarom zo efficiënt mogelijk zijn.
Dat patches op bedrijfsnetwerken niet altijd (goed) worden uitgerold is best begrijpelijk. Zolang de hoeveelheid malware toeneemt, zal ook het aantal patches toenemen. Leveranciers ontdekken hierdoor vaak duizenden kwetsbaarheden die allemaal gepatcht moeten worden. IT-beheerders zien hierdoor vaak door de bomen het bos niet meer, omdat ze geen goed overzicht hebben van wat er moet gebeuren om het netwerk veilig te houden. Bovendien gebruiken leveranciers verschillende patch methodes, wat het proces nog ingewikkelder maakt.
Anders aangepakt
Geen wonder dat iedere organisatie het patchen en updaten van hun IT-omgeving anders aanpakt. Uit recent onderzoek van het CBS blijkt dat grote bedrijven relatief vaker handmatig security patches en updates uitvoeren, terwijl middelgrote en kleinere bedrijven ervoor kiezen om dit automatisch te doen. Dit verschil komt waarschijnlijk omdat grote bedrijven vaak complexere ICT-infrastructuur en meer controle over het proces willen hebben. Daarnaast patchen sommige bedrijven soms bewust niet, omdat de patches conflicteren met bepaalde - minder gangbare - programma’s die door het bedrijf worden gebruikt. Het kan ook voorkomen dat bepaalde functionaliteiten, die voor de gebruiker belangrijk zijn, bij een patch of een update verloren gaan, waardoor bedrijven soms niet patchen.
Een andere uitdaging waar organisaties vaak tegenaan lopen, zijn legacy-systemen. Omdat de security van een systeem een continu proces is, moet ook ieder systeem binnen de organisatie geüpdatet zijn. Legacy-systemen hebben hier vaak moeite mee, waardoor er grote securityproblemen kunnen ontstaan. Ontwikkelaars en fabrikanten geven vaak de prioriteit aan hun nieuwste software, waardoor er soms gaten ontstaan in de beveiliging van oudere oplossingen. Daarnaast komen updates altijd na het uitbrengen van de software zelf, waardoor er altijd een moment is dat data niet goed beveiligd is.
Grip op beveiligingslekken
Om ondanks deze uitdagingen toch grip te krijgen op beveiligingslekken, is het belangrijk dat bedrijven een uitgebreide patch procedure, oftewel een UPMS (Update Patch Management System), vastleggen. Op deze manier kan in combinatie met een patch management oplossing, de herkenning en verdeling van nieuwe patches gemakkelijk beheerd worden.
Voordat er kan worden begonnen aan een dergelijke procedure, is het belangrijk om te beginnen met het updaten van de inventaris op het gebied van software en hardware. Daarnaast moet er gekeken worden, welke bekende bugs en beveiligingslekken er al zijn en of er al updates en patches beschikbaar zijn voor de betreffende hardware of software. Hierdoor is de IT-beheerder volledig op de hoogte van wat er beschikbaar is binnen het netwerk en met welke mogelijke knelpunten hij te maken kan krijgen.
Duidelijk overzicht
Zodra er een duidelijk overzicht is, kan er worden begonnen aan de procedure. Een patch procedure begint altijd met een planning en strategie. Het is belangrijk dat organisaties hierbij rekening houden met een aantal belangrijke factoren zoals: de mate van bekendheid van eventuele lekken, hoe de lekken kunnen worden misbruikt door cybercriminelen en of de patch, die men wil installeren, afhankelijk is van vorige patches. Vervolgens kan het testen van de patch beginnen. Dit is een cruciale fase die veel problemen kan voorkomen. Het testen moet gebeuren op systemen die qua configuratie alle systemen binnen het netwerk simuleren. Vaak is het niet mogelijk om een complete fysieke testopstelling te maken die aan deze voorwaarde voldoet. In dat geval is het mogelijk om virtuele machines te gebruiken, al geven die geen realistisch beeld van de fysieke problemen die zouden kunnen optreden, zoals problemen met bandbreedte en gebrek aan schijfruimte.
Nadat de patches getest zijn, kan er gestart worden met de uitrol. Een uitrol is niet alleen maar een kwestie van patches naar clients pushen, maar begint altijd met de nodige voorbereiding. Veel patches kunnen niet worden uitgevoerd op een systeem dat in gebruik is, of vereisen een reboot van het systeem, waardoor het raadzaam is om patches uit te rollen buiten kantooruren. Bij zeer ernstige beveiligingslekken kan hierop een uitzondering worden gemaakt. Het is in alle gevallen verstandig om gebruikers vooraf te waarschuwen dat er gepatcht gaat worden, omdat het (onverwacht) invloed zou kunnen hebben op de functionaliteiten van programma’s of omdat het downtime kan veroorzaken. Maak ook altijd een back-up van de oude situatie, zodat de uitrol kan worden teruggedraaid als zich toch compatibiliteitsproblemen voordoen. Controleer daarnaast altijd de checksum van de patch, als deze klopt dan zijn er zeker geen fouten opgetreden bij de download van de patch. Daarnaast is het ook raadzaam om een volledige virusscan te doen voor de uitrol om problemen te voorkomen.
Evaluatie
Voer na afloop van de uitrol altijd een evaluatie uit om er zeker van te zijn dat de patch op alle systemen zonder problemen is verlopen. Dit is te controleren door te kijken of het versienummer van de gepatchte software is veranderd. Controleer ook de deployment logs om te zien of zich problemen hebben voorgedaan en betrek vooral ook de eindgebruikers in de evaluatie.
Patch management is de onmisbare schakel voor een veilige IT-omgeving en is niet iets wat je even tussen de bedrijven door doet. Het vereist een doordacht plan, de juiste cybersecurity tools, nauwkeurigheid en consistentie. Samen vormt dit een goede basis voor een solide cybersecurity.
Jerrel Abdoel, Country Manager G DATA Nederland